)
)
Per quanto riguarda la sicurezza delle password, più livelli di protezione ha il tuo sistema di sicurezza personale o aziendale, meglio è. Non esiste un servizio online infallibile: gli hacker potrebbero utilizzare chissà quale tattica malevola per accedere ai tuoi account. Tuttavia, un pepper costituisce un ulteriore livello di sicurezza che protegge la tua password da attacchi di forza bruta, attacchi a dizionario e tabelle arcobaleno. Continua a leggere per scoprire cos'è il pepper di una password, come funziona e come può migliorare la tua cybersecurity.
Contenuti:
Cos'è il pepper di una password?
Il pepper di una password è un elemento strettamente collegato al processo di hashing delle password . I siti web non memorizzano le password in chiaro degli utenti perché ciò consentirebbe a chiunque vi possa accedere di visionarle. Nella maggior parte dei casi, tali password vengono sottoposte a hashing, ovvero gli algoritmi di crittografia le convertono in complicate stringhe di caratteri. In questo modo, anche se il database di un sito web viene violato, gli hacker dovranno decrittografare gli hash per entrare in possesso delle credenziali degli utenti.
Un pepper è un valore segreto (una stringa casuale di caratteri) che viene aggiunto alla password prima che venga effettuato l'hashing. A differenza di un salt, che è un altro elemento crittografico che serve ad aggiungere un ulteriore livello di sicurezza alla password, un pepper non cambia. Come l'ingrediente segreto di uno chef, rimane lo stesso in tutti i piatti: negli account online degli utenti o, se fa parte del codice sorgente, nei loro database.
Come funziona l'aggiunta di un pepper alle password?
Il pepper cambia il valore che viene sottoposto a hashing, il che permette di ottenere un hash della password diverso e più sicuro. Può essere integrato nel codice sorgente del sito web o aggiunto manualmente dall'utente privato o aziendale.
Nel primo scenario, il titolare della piattaforma online sceglie il pepper, assumendosi la responsabilità dell'efficacia e della sicurezza del codice. Questo pepper viene utilizzato in tutto il database del sito web: non ne vengono aggiunti di individuali alle password degli utenti. Nel caso di una violazione dei dati, il pepper codificato in forma rigida potrebbe però creare più problemi che altro. Se i criminali informatici dovessero ottenere l'accesso al codice sorgente, potrebbero scoprire rapidamente il pepper, il che comprometterebbe le password sottoposte a hashing. Inoltre, in questa impostazione, cambiare il pepper violato implica la modifica del codice sorgente e la ridistribuzione dell'applicazione, che è piuttosto complicata.
Per questi motivi, ci concentreremo sul secondo scenario: l'aggiunta manuale di un pepper alle password. È necessario impostare un codice efficace e casuale (puoi usare il nostro generatore di password per crearne uno) e tenerlo al sicuro, separato dalle credenziali di accesso. Aggiungere un pepper alle credenziali di accesso implica che, anche se utilizzi un Password manager efficace come NordPass, dovrai comunque memorizzare il codice segreto o custodirlo in un luogo sicuro differente.
Migliora la tua sicurezza online
Conserva e gestisci in modo sicuro i tuoi preziosi beni digitali
Inizia la prova gratuitaAggiungere un pepper alle password per migliorare la sicurezza online
Aggiungere un pepper ti aiuta a proteggere i tuoi account nel caso in cui le password vengano compromesse. La crescita del numero di crimini informatici (l'attività criminale più redditizia al giorno d'oggi) indica che la prudenza non è mai troppa e che non si possono aggiungere troppi livelli di protezione. Nessun fornitore di servizi online è completamente al riparo dalle violazioni, come ha imparato LastPass a sue spese alla fine del 2022.
L'aggiunta di un pepper alle password è un processo manuale, che allunga i tempi di accesso agli account. Questa tecnica può essere scomoda, soprattutto se si è abituati a un'esperienza di login fluida, ma migliora sicuramente la sicurezza online.
Le persone sono ancorate alle loro abitudini e comodità, e tendono a rinunciare a pratiche di sicurezza troppo impegnative. Pertanto, sconsigliamo di aggiungere un pepper a tutte le password: meglio limitarsi a quelle più importanti. Ecco come fare:
Crea un pepper efficace e complesso, ma facile da ricordare per te.
Puoi pensare al pepper come a una password: più è lungo e difficile, meglio è. Fai in modo che la sequenza di bit sia casuale e usa diversi tipi di simboli. Tuttavia, non esagerare. Il modo migliore per proteggere il pepper è memorizzarlo!
Crea una "password di base" e archiviala nel tuo Password manager.
Usa un generatore di password per creare una stringa complessa di caratteri: sarà la tua "password di base". Poi, salvala nel vault crittografato del Password manager.
Modifica le password dei tuoi account più importanti dopo aver aggiunto un pepper.
Una volta creata la password di base, aggiungile il pepper: ne otterrai una nuova, che sarà quella effettiva da usare. Poi, aggiorna i tuoi account più importanti utilizzandola. Ora, tutte le volte che vorrai accedere all'account, dovrai aggiungere il pepper.
Nota: puoi includere il pepper in qualsiasi punto della stringa di caratteri che costituisce la tua password di base. Tuttavia, per evitare di complicarla eccessivamente, aggiungilo all'inizio o alla fine.
Non archiviare il pepper nel vault del Password manager.
L'idea alla base dell'aggiunta di un pepper alle password non è quella di tenere tutte le uova in un unico paniere. In altre parole, è meglio non archiviare il codice segreto nel vault del Password manager. In un eventuale leak delle password, trapelerebbe anche il pepper. Per fare in modo che l'aggiunta del pepper alle password funzioni, tienilo al sicuro da qualche altra parte, preferibilmente in testa.
L'aggiunta di un pepper alle password da un punto di vista aziendale
In un'ottica aziendale, aggiungere un pepper alle password può causare più problemi che altro. Può interrompere la collaborazione e la condivisione delle informazioni tra i team, allungare i tempi dedicati ad attività che potrebbero essere facilmente automatizzate e compromettere i risultati delle verifiche di conformità e di sicurezza delle password.
Esaminiamo dunque altre misure di sicurezza più adatte all'ambiente aziendale. A differenza dell'aggiunta di un pepper alle password, le seguenti tecniche favoriscono la trasparenza e consentono una risposta immediata alle minacce informatiche.
Politica delle password
La politica delle password è un insieme di regole e linee guida per la creazione e la gestione delle password nell'organizzazione. Fornisce ai dipendenti informazioni sulla lunghezza che dovrebbero avere, sui tipi di caratteri che devono includere e sulla frequenza con cui bisogna modificarle. Se applicata automaticamente dal Password manager dell'organizzazione, la politica delle password consente agli amministratori della rete aziendale di controllare ogni password utilizzata internamente.
Qualità delle password
Le metriche relative alla qualità delle password permettono di monitorare quelle aziendali vulnerabili. La funzionalità Salute password di NordPass fornisce informazioni dettagliate riguardo alle password deboli, vecchie di oltre 90 giorni e riutilizzate, sulle quali i dipendenti fanno affidamento. Permette di eliminare il rischio di una violazione dei dati legata a password deboli invece di mitigare i risultati degli attacchi degli hacker.
Rilevatore violazioni dati
Rilevatore violazioni dati ti avvisa in tempo reale di tutti i leak di dati relativi alle e-mail e ai domini aziendali. Può davvero cambiare le carte in tavola poiché, secondo il rapporto sulla sicurezza dei dati 2023 di IBM, le aziende impiegano in media 277 giorni per identificare e arginare una violazione. Se intervieni subito sull'incidente di sicurezza, è probabile che i criminali informatici non abbiano abbastanza tempo per utilizzare le informazioni contro l'azienda.
Tendenze in materia di sicurezza delle password
Questi sono anni cruciali per la sicurezza delle password. Stiamo assistendo al passaggio a un metodo di autenticazione più semplice e sicuro: Le passkey. Queste ti consentono di accedere ai tuoi account online nello stesso modo in cui sblocchi lo smartphone, ovvero tramite impronta digitale o Face ID. Si tratta di una nuova tecnologia che coniuga la verifica biometrica con le chiavi crittografiche, riducendo i rischi di phishing, attacchi di forza bruta e altre minacce informatiche.
Alcuni dei più grandi giganti tecnologici, tra cui Amazon, Apple, Google e Meta, hanno già aderito alla FIDO Alliance, un'associazione di settore creata per "risolvere il problema delle password nel mondo". Anche NordPass fa parte di FIDO e, insieme ad altri membri, promuove attivamente l'uso delle passkey e le rende accessibili agli utenti. Ecco perché il nostro Password manager ti permette di archiviare, accedere e condividere le passkey in modo sicuro.
FAQ
Sia pepper che salt sono termini crittografici che descrivono pratiche volte ad aumentare la sicurezza di una password (rendendola più complessa) prima dell'hashing (che la trasforma in un codice).
Il pepper è un valore o, per rimanere in ambito culinario, un ingrediente segreto che viene aggiunto alla password. È statico, ovvero è lo stesso per tutte le password presenti nel sistema. Solo tu dovresti conoscere questo ingrediente segreto: non dovresti mai memorizzarlo insieme ai valori hash o alle password.
Il salt è una stringa casuale di caratteri che viene aggiunta alla password prima che un algoritmo effettui l'hashing. Tuttavia, a differenza del pepper, è diverso per ogni utente. In questo modo, anche se due persone hanno la stessa password su un sito web, avranno hash (codici) diversi per via del salt.
No. L'aggiunta di un pepper alle password può aumentare la protezione online, ma non sostituisce le altre misure di sicurezza, come la conservazione delle password in un vault crittografato o l'utilizzo di un software antivirus affidabile.
Sì, aggiungere un pepper alle password è una tecnica adatta per l'uso personale. Puoi creare il tuo pepper, che è un bit di codice segreto, e aggiungerlo alle password di base parziali salvate sui siti web a cui accedi o nel vault del tuo Password manager, seguendo la formula: "password di base + pepper = password effettiva".
Sebbene questa procedura ti protegga da potenziali leak di password, deve essere eseguita manualmente, il che può ostacolare l'accesso agli account. Ecco perché ti consigliamo di aggiungere un pepper solo alle password dei tuoi account più importanti, come quello del servizio di posta elettronica o di banking online.